[杀毒]今天碰到了一个很强悍的 病 毒，新版的卡 巴现已能查出 [复制链接]

我的机器已经用GHOST还原了，因为系统文件被破坏的实在太严重了

初步分析此病毒致病原理：（我安装的是卡巴斯基，不知对其他杀软怎样）

1、强行修改系统时间到1980年某日，致使卡巴斯基提示不正确的授权许可激活日期，而停止监控。
（看来卡巴的漏洞也不小，修改一个日期就搞挺了。有兴趣的可以修改一下看看，如此简单你的卡巴就成灰色的了。。。病毒的作者很聪明）

2、趁卡巴虚而入，进一步破坏卡巴病毒特征库，导致卡巴所有监控失效。
（当我试图修复卡巴时，还是提示组件破坏，看来病毒在卡巴离职时对其做了很多很多非礼之事！）

3、破坏系统还原文件，导致所有还原点失效
（这个没有什么新鲜的，很多病毒都学会了这一招。如今，windows系统还原功能的作用越来越体现不出来了，无奈）

4、破坏系统文件，企图进入安全模式时系统提示有致命性错误，死机
（还想到安全模式把我清除？让你死了这条心！）

5、在所有的盘符下生成autorun.inf，内容如下：
[AutoRun]
open=fywmebw.exe
shell\open=打开(&O)
shell\open\Command=fywmebw.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=fywmebw.exe
表象为右击盘符时一切正常，依然是“打开（默认）、自动播放、资源管理器”等，但其实是伪装出来的，怀疑注册表也被完美的修改了。这还是第一次遇到这种情况，防不胜防，强！
我在这里就上当了，点了一下“打开”，结果直接激发了fywmebw.exe这个病毒体！看来，以后还是在地址栏中直接打入盘符最安全。。。

6、(未确定)破坏一键GHOST自动备份的gho文件，且破坏的方式很是聪明！！
过程如下：当你无可奈何，想用一键GHOST恢复系统时，无论你选择的是什么，结果都是直接指向了自动备份，而且备份2秒后自动停止！后果可想而知，以前的自动备份文件被这个新的很小的备份文件覆盖掉了！！可见，也不要太依赖一键GHOST的自动备份和恢复！还是手动备份指定路径更安全！
好在我以前做过手动GHOST备份，指定了路径后，终于恢复了系统！

现在，这个病毒还在我的U盘里躺着，没舍得删，我把它打包了，见附件，谁有兴趣想挑战一下自己可以试试，呵呵

一起研究研究。。。

引用第2楼little于06-11-2007 12:28 AM发表的:明天找格别人的机器测试下.

狠。。。

对对，这个病毒是很强的，首先就会把时间给改了。他们在每个盘下都会留下备份还有一个autorun的文件，所以把进程停了打开其它盘又会感染，很郁闷的。先把下面的代码用记事本存下去，扩展名是reg，然后到导入注册表把病毒停了，再用ACDSee查看每个硬盘下的隐藏文件，把autorun和那个程序文件删了，就可以了，如果中毒不是太深就没事了，我的电脑被感染的直接找不到硬盘了，只能重装。其实要是不清除干净，重装c盘也没用，还是会感染的。
－－－－－－－－－－－以下为代码－－－－－－－－－－－－－－－－－－－－－－－
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pgijhph.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pgijhph.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epiaumj.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epiaumj.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oso.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\copy.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wokaye.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\she.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rising.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sys.exe]
"Debugger"="c:\\破坏类.exe"

好了最新的卡巴可以查出来了
总算解放了

我的U盘貌似就有病毒啊

我同学的电脑也是,在寻找了很多软件之后,用USBKILLER或者AUTORUNKILLER把这个病毒干掉了,不过在已经中病毒的电脑上打不开下载网页,需要在同学的干净的电脑上下载,然后让他用QQ传给你(QQ默认不能传扩展名是exe的文件,需要设置一下),然后去注册表,像6楼兄弟说的"运行regedit.exe,查找fvgbpda.exe和dixgrhl.exe，全部删掉
搜索启动项目，其中有fywmebw,gamawwi,kvsc3,mppds,upxdnd，删除对应项目"再重启一下电脑,搞定!

引用第25楼啄木论坛于2007-06-15 01:13发表的:还有直接扩散~~~

那就是晚期了吧？
咱们还没到晚期不是？

还有直接扩散~~~

hoho，除了淋巴转移外还可能通过血液转移。。。

引用第22楼文明于2007-06-15 00:34发表的:学校的电脑里病毒多的是，尤其是８号楼的．一插就是几个了．．．．．．千万别把这个病毒带到教室去呀．．．

建议由啄木论坛牵头成立杀软小分队，对山医多媒体教室进行淋巴结清扫，一个不留。
推荐软件：
奇虎
usb cleaner
当然要最新版的啦。。。

学校的电脑里病毒多的是，尤其是８号楼的．一插就是几个了．．．．．．
千万别把这个病毒带到教室去呀．．．

此病毒最近传播很厉害。光我班就已有四五台机器中毒重装了。基本靠U盘传播。而且最初源头是某复印处。。。

这似乎不是传说中的那个AV终结者，因为刚才用金山那个专杀工具并不能查出来。最新病毒库的卡巴也依然没有动静，无奈。

另外，没有发现此病毒再对一键GHOST进行攻击，我的情况属个别，应该是另一个病毒所致。因为卡巴在一键GHOST目录下发现过一个小木马。

相当的强悍，重装的系统，

引用第15楼欣宇于2007-06-13 17:31发表的:类似的免疫原理很容易理解，就是先生成一个跟病毒文件名相同的文件，并将这个文件属性设置为系统加只读。这样病毒就无法再复制自己了，因为它无法覆盖这个文件。但是，万一这个病毒能采用随机文件名，那就不好办了。最近忙着备考，暂没时间研究这个病毒了，但感觉没有那么简单的。如果真的是传说中的AV终结者，那就更不能小视了。.......

随机文件名说是比较轻巧，实际上不好写。
现在有随机文件名的也是在感染时候做成随机文件名来复制，实际上感染上以后文件名是固定的。
因为VC和汇编语言格式决定了程序不能修改自己，code segment是fixed的。能自己修改自己的语言，如lisp，生成的文件没有那么小，不适合做病毒或者木马。

所以改文件名是人为的，如果像熊猫烧香那样不停出新变种，那说明是认为恶意做的，现在的杀毒软件机制对这种恶意的不停出新版本的病毒是没有防御作用，除非哪年出来带牛AI的“主动防御”杀毒软件。现在所谓的启发式杀毒和主动都是纸老虎。

你自己要改病毒文件名也很好改啦，先脱壳然后改就成了，嘿嘿，但是没必要害人所以没人改啦